L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Red Hat Single Sign-On

avis de vulnérabilité informatique CVE-2018-14658

Keycloak : redirection via org.keycloak.protocol.oidc.utils.RedirectUtils

Synthèse de la vulnérabilité

Un attaquant peut tromper l'utilisateur via org.keycloak.protocol.oidc.utils.RedirectUtils de Keycloak, afin de le rediriger vers un site malveillant.
Produits concernés : Red Hat SSO.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Date création : 14/11/2018.
Références : CVE-2018-14658, RHSA-2018:3592-01, RHSA-2018:3593-01, RHSA-2018:3595-01, VIGILANCE-VUL-27779.

Description de la vulnérabilité

Un attaquant peut tromper l'utilisateur via org.keycloak.protocol.oidc.utils.RedirectUtils de Keycloak, afin de le rediriger vers un site malveillant.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-14657

Keycloak : élévation de privilèges via TOPT Brute Force

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via TOPT Brute Force de Keycloak, afin d'élever ses privilèges.
Produits concernés : Red Hat SSO.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : client internet.
Date création : 14/11/2018.
Références : CVE-2018-14657, RHSA-2018:3592-01, RHSA-2018:3593-01, RHSA-2018:3595-01, VIGILANCE-VUL-27778.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via TOPT Brute Force de Keycloak, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2018-1000632

dom4j : injection d'entité XML externe via XML Injection

Synthèse de la vulnérabilité

Un attaquant peut transmettre des données XML malveillantes via XML Injection à dom4j, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Produits concernés : Debian, openSUSE Leap, JBoss EAP par Red Hat, Red Hat SSO, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : document.
Date création : 25/09/2018.
Références : CVE-2018-1000632, DLA-1517-1, openSUSE-SU-2018:2931-1, openSUSE-SU-2018:3998-1, openSUSE-SU-2018:4045-1, RHSA-2019:0362-01, RHSA-2019:0364-01, RHSA-2019:0365-01, RHSA-2019:0380-01, SUSE-SU-2018:3424-1, SUSE-SU-2018:3908-1, VIGILANCE-VUL-27312.

Description de la vulnérabilité

Un attaquant peut transmettre des données XML malveillantes via XML Injection à dom4j, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-14627

WildFly : obtention d'information via IIOP SSL Required

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via IIOP SSL Required de WildFly, afin d'obtenir des informations sensibles.
Produits concernés : JBoss EAP par Red Hat, Red Hat SSO, WildFly.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : LAN.
Date création : 05/09/2018.
Références : CVE-2018-14627, RHSA-2018:3527-01, RHSA-2018:3528-01, RHSA-2018:3529-01, RHSA-2018:3592-01, RHSA-2018:3593-01, RHSA-2018:3595-01, VIGILANCE-VUL-27147, WFLY-9107.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via IIOP SSL Required de WildFly, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Red Hat Single Sign-On :